Na última segunda-feira, 1º de julho de 2025, o sistema financeiro nacional enfrentou o mais grave ataque hacker já registrado. Criminosos digitais conseguiram desviar mais de R$ 1 bilhão das contas de reserva de, pelo menos, seis instituições financeiras, entre elas o Bradesco, BMP e Credsystem. O golpe foi altamente sofisticado e realizado por meio da infraestrutura tecnológica da C&M Software, empresa autorizada pelo Banco Central a operar como integradora de sistemas financeiros.
Como o ataque aconteceu?
O alvo dos hackers foi a C&M Software, que atua como intermediária entre instituições financeiras e o Sistema de Pagamentos Brasileiro (SPB), incluindo serviços como Pix, TED e DDA. Ao comprometer os sistemas da C&M, os criminosos obtiveram acesso às credenciais de diversos clientes da empresa, o que lhes permitiu movimentar recursos das contas de liquidação interbancária — fundos que os bancos mantêm no Banco Central do Brasil.
Importante destacar que o ataque não atingiu diretamente os sistemas do Banco Central, mas explorou a relação de confiança entre a autarquia e a prestadora de serviços terceirizada.
Lavagem via criptoativos
Após o desvio, os hackers iniciaram rapidamente a lavagem dos valores, utilizando transações em massa via Pix para exchanges e plataformas de criptomoedas no Brasil. A estratégia era converter os valores desviados para ativos digitais, principalmente USDT (Tether) e Bitcoin, por meio de OTCs, gateways de pagamento e sistemas de swap.
Algumas empresas de cripto conseguiram identificar comportamentos suspeitos e bloquearam parte das transações, evitando a conversão total dos valores. Mesmo assim, especialistas apontam que um volume considerável foi efetivamente lavado, e o rastreamento de endereços de carteira pode ajudar a localizar parte dos recursos.
Reações e medidas imediatas
O Banco Central confirmou o incidente e determinou o desligamento imediato da C&M Software das infraestruturas de pagamento que operava. Uma investigação conjunta entre BC, Polícia Federal e Polícia Civil de São Paulo está em andamento.
A própria C&M afirmou, em nota oficial, que também foi vítima da ação criminosa, e que seus sistemas críticos continuam funcionando normalmente. A empresa optou por não comentar detalhes da apuração por orientação jurídica.
Já a BMP, uma das instituições afetadas, declarou que nenhum cliente foi prejudicado, e que a perda se limitou a recursos próprios mantidos no BC. A empresa garantiu que possui colaterais suficientes para cobrir o valor e que continua operando normalmente.
O que isso revela?
Este episódio expõe a fragilidade de infraestruturas terceirizadas que operam em nome de instituições financeiras dentro de um ecossistema altamente conectado. A confiança em APIs e integrações automatizadas — embora eficiente — pode abrir brechas de segurança quando não acompanhada de políticas rigorosas de proteção, monitoramento e autenticação.
Enquanto os danos exatos ainda estão sendo apurados, este se tornou um marco na história da cibersegurança financeira no Brasil, com impactos que devem repercutir em mudanças regulatórias, aprimoramento de controles técnicos e uma reflexão profunda sobre a governança de terceiros no setor financeiro.
Fique atento às atualizações e siga boas práticas de segurança digital, especialmente ao lidar com integrações críticas em ambientes financeiros.
